04.07.2025

2624

Verzeichnis löschen möglich, trotz "Lesen + Ausführen"-Rechte

Hallo,

in unserer neuen Verzeichnis-Struktur sind die ersten beiden Ebenen für Änderungen durch Mitarbeitende gesperrt.
Dort haben diese lediglich "Lesen + Ausführen"-Rechte.

Die Verzeichnisse in der Ebene darunter (Ebene 3) sind alle mit "Ändern"-Rechten versehen, damit man dort wiederum weitere Unterverzeichnisse erstellen kann.

Nun hatten wir aber den Fall, dass eine Kollegin heute Morgen ein Verzeichnis dieser 3. Ebene löschen konnte, was eigentlich ja verhindert werden soll. Sie wollte dann dort ein neues Verzeichnis erstellen (statt des gelöschten Verzeichnisses), aber das funktionierte nicht, da sie eine Berechtigungs-Fehlermeldung erhielt.

Wie kann es sein, dass man in der gleichen Ebene ein Verzeichnis löschen... aber kein neues erstellen kann?
Ich möchte es so haben, dass man in dieser 3. Ebene die vorhandenen Verzeichnisse NICHT löschen und auch keine neuen Verzeichnisse erstellen kann.

Könnte es sein, dass ich vielleicht den Verzeichnissen in der 3. Ebene das Recht "Nur für Unterordner und Dateien" geben müsste und nicht für "Diesen Ordner, Unterordner und Dateien"? Siehe Screenshot:

berechtigung nur für unterordner und dateien

Könnt Ihr helfen?

Grüße von
Yan

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 673693

Url: https://administrator.de/forum/verzeichnis-loeschen-rechte-berechtigung-673693.html

Ausgedruckt am: 12.07.2025 um 06:07 Uhr

30 Kommentare

Neuester Kommentar

Hallo,
ohne zu wissen, welche Rechte du in welcher Ebene gegeben hast und was für Ebenen du meinst, kann man dir nicht wirklich helfen oder ich habe es nicht verstanden.

In deinem gezeigten Bild kann jeder authentifizierte Benutzer den "Drittmittelakquise" Ordner inklusive aller Unterordner und Dateien löschen.
Wenn du verhindern willst, dass der Drittmittelakquise selbst gelöscht oder umbenannt werden kann, musst du das Ändern-Recht auf "Nur Unterordner und Dateien" stellen. Damit die User aber dann in den Ordner navigieren können oder das Share gemappt bekommen können oder was auch immer, brauchst du zusätzlich mindestens "lese-Rechte nur auf diesen Ordner Drittmittelakquise".
Mit den "erweiterten Berechtigungen" kann man noch feinere Einstellungen vornehmen, die gibt es nicht nur zur Show ;)

MfG

Moin Yan,

Zitat von @Yan2021:
Nun hatten wir aber den Fall, dass eine Kollegin heute Morgen ein Verzeichnis dieser 3. Ebene löschen konnte, was eigentlich ja verhindert werden soll. Sie wollte dann dort ein neues Verzeichnis erstellen (statt des gelöschten Verzeichnisses), aber das funktionierte nicht, da sie eine Berechtigungs-Fehlermeldung erhielt.

Wenn die Benutzer für den Ordner der Ebene 3 Schreibrechte haben, können sie diesen auch löschen - wenn sie das nicht sollen, musst du bei "Anwenden auf" "Nur Unterordner und Dateien" wählen.

Wie kann es sein, dass man in der gleichen Ebene ein Verzeichnis löschen... aber kein neues erstellen kann?

Weil sie für die Ebene 2 nur Lese- und Ausführenrechte haben. Dort musst du dann auch "Ordner erstellen" Rechte gewähren.

Gruß Thomas

@support-m:

OK und danke.
Ich habe zwar noch nicht verstanden, wieso ich dann noch zusätzlich "lese-Rechte" nur auf diesen Ordner "Drittmittelqkquise" brauche, aber das könnte ich ja so einstellen.

Ich sehe eben noch diesen Zusatz im Screenshot unter den Berechtigungen.
Dort steht "Berechtigungen nur für Objekte und/oder Container in diesem Container übernehmen".
Könnte ich auch damit das Gewünschte erreichen?

Grüße von
Yan

@TK1987:

Danke auch Dir...

@support-m schreibt aber, dass noch zusätzlich "lese-Rechte" nur auf diesen Ordner "Drittmittelqkquise" benötigt werden, wenn ich es so mache, dass ich nun für die Verzeichnisse der 3. Ebene "Anwenden auf" "Nur Unterordner und Dateien" wähle...

Grüße von
Yan

Zitat von @Yan2021:
@support-m schreibt aber, dass noch zusätzlich "lese-Rechte" nur auf diesen Ordner "Drittmittelqkquise" benötigt werden, wenn ich es so mache, dass ich nun für die Verzeichnisse der 3. Ebene "Anwenden auf" "Nur Unterordner und Dateien" wähle...

Da hat er recht.

Und die Benutzer benötigen auf Ebene 2 noch Notgedrungen ändern-Rechte angewendet auf "Nur Unterodner".
Da die Vererbung bei den vorhandenen Ordnern ab Ebene 3 deaktiviert ist, betrifft das diese nicht, sondern nur die neuen.

Hi,
schau dir doch mal die NTFS-Rechte deines C:\ Laufwerks an. Mit Standard-Rechten gibt es neben SYSTEM oder Administratoren noch
1. Ändern-Recht auf Unterordner und Dateien und
2. Lesen-Recht auf Diesen Ordner bzw. sogar nur das Recht Ordner erstellen und Dateien anfügen

"Berechtigungen nur für Objekte und/oder Container in diesem Container übernehmen" macht genau das und verhindert die Vererbung auf untergeordnete Ordner und Dateien.

Wie aber schon gesagt, ohne zu wissen wie deine Ordnerstruktur ist, ist das alles nur Glaskugel Rätselraten. Gibt uns doch mal eine "grobe" Strukturübersicht, dann kann man dir vielleicht sagen, welche Rechte wo wie eingestellt werden müssen.

MfG

Zitat von @support-m:
Wie aber schon gesagt, ohne zu wissen wie deine Ordnerstruktur ist

Der Ursprung ist dieser Thread hier: Rechtevergabe über icacls-Befehl ändern

Hi

Dann musst du dein ändern Recht auf Ebene 3 entsprechen anpassen

Im Standard darf man wenn man auf dem Ordner das Recht ändern hat auch den Ordner löschen

Das lässt sich nur verhindern wenn man
Löschen von Unterordner und Dateien statt löschen in der erweiterten Ansicht anklickt.

Mit freundlichen Grüßen Nemesis

@nEmEsIs:

Dann wäre das im Grunde das Einzige, was ich tun müsste?
Also in allen Verzeichnissen der 3. Ebene diese Änderung vornehmen in den erweiterten Eigenschaften... also "Löschen von Unterordner und Dateien" statt nur "löschen"?

Und das müsste ich dann über die jeweiligen Eigenschaften der Verzeichnisse der 3. Ebene machen... richtig?
Also im Beispiel hier im Verzeichnis "S:\5 Fundraising\2 Spendenakquise\Drittmittelakquise".

Grüße von
Yan

Wenn ja... gibt es da eine Möglichkeit, das über eine Batch-Datei zu machen?
Also allen Verzeichnissen im Root "S:\", die mit einer Zahl zwischen 1 + 7 beginnen, in der 3. Ebene das "Löschen von Unterordner und Dateien" statt nur "löschen" zu gewähren?

Ggf. ginge sicher auch ein PS-Skript, obwohl ich lieber mit Batch-Dateien arbeite...

Grüße von
Yan

Hey,

die Kollegen haben ja schon alles notwendige mitgeteilt, ich möchte dir aber grundsätzlich noch ans Herz legen, dich mit Berechtigungssystemen etwas mehr zu beschäftigen, ich habe den Link schon ein, zweimal hier eingestellt, vielleicht hilft er Dir ja dabei auch:

best-practice-fuer-die-berechtigungsvergabe-auf-fileservern

Das Problem, was ich derzeit sehe, ist, dass du quasi im Blindflug Berechtigungen verteilst und das kann schnell zu massivem Datenverlust führen, wenn dann auch noch die wichtige Datei von der GF weg ist, die ja den ganzen morgen stundenlang dick befüllt wurde und die Sicherung nur aus der Nacht davor stammt...

Zumindest die einzelnen Bedeutungen der granularen Berechtigungen und welche Ebene wie berechtigt werden sollte, wäre eine gute Basis.
Bezüglich der "Listrechte", um zu einem Unterverzeichnis zu navigieren usw., das wird dort auch behandelt!

Viel Erfolg weiterhin.

Grüße,
n3cro

Hi

Um das zukünftig strukturiert zu machen schau dir mal das Skript an, welches ich mit Hilfe des Forums / Community für meinen Fileserver erstellt habe.

NTFS Berechtigungstool mit Active Directory Gruppen Erstellung

Es behandelt auch dein Problem.
Allerdings kann immer jemand der eine Ebene höher berechtigt ist einen Ordner einer tieferen löschen.

Ober sticht unter.

OK und danke...
Habe mich mal ein bisschen damit befasst und nun das folgende PS-Skript, welches jetzt allen Verzeichnissen der 3. Ebene das Ändern-Recht angewendet auf "Nur für Unterordner und Dateien" vergibt, statt "Diesen Ordner, Unterordner und Dateien".

Vielleicht mögt Ihr Euch das Skript ja mal anschauen und gerne auch Änderungen posten:

# Setze das Root-Verzeichnis
$rootDir = "S:\"  

# Alle Verzeichnisse in der 3. Ebene
$thirdLevelDirs = Get-ChildItem -Path $rootDir -Recurse -Directory | Where-Object { $_.FullName.Split('\').Count -eq 4 }  

# Gehe durch jedes Verzeichnis und setze die Berechtigungen
foreach ($dir in $thirdLevelDirs) {
    $acl = Get-Acl $dir.FullName
    $accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule("domäne\G2", "Modify", "ContainerInherit, ObjectInherit", "None", "Allow")  
    
    # Entferne bestehende "Ändern"-Berechtigungen für das Verzeichnis selbst für die Gruppe 
    $acl.Access | Where-Object { $_.IdentityReference -eq "domäne\G2" -and $_.FileSystemRights -eq "Modify" -and $_.InheritanceFlags -eq "None" } | ForEach-Object { $acl.RemoveAccessRule($_) }  
    
    # Füge neue "Ändern"-Berechtigungen nur für Unterordner und Dateien hinzu 
    $acl.AddAccessRule($accessRule)
    Set-Acl $dir.FullName $acl
}

Write-Host "Berechtigungen wurden erfolgreich aktualisiert."  

Grüße von
Yan

Zitat von @Yan2021:

$thirdLevelDirs = Get-ChildItem -Path $rootDir -Recurse -Directory | Where-Object { $_.FullName.Split('\').Count -eq 4 }     

ist doch unnötig, die gesamte Verzeichnisstruktur aufzulisten und zu überprüfen, wenn man nur die 3. Ebene will...

$thirdLevelDirs = Get-ChildItem -Directory -Path "$rootDir\*\*\*"  

$accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule("domäne\G2", "Modify", "ContainerInherit, ObjectInherit", "None", "Allow")   

Das gilt auch wieder für den Ordner selbst!

$accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule("domäne\G2", "Modify", "ContainerInherit, ObjectInherit", "InheritOnly", "Allow")   

Das Problem, dass die Nutzer keine Ordner auf Ebene 3 selbst erstellen können, ist damit immer noch nicht gelöst.

OK und danke für die Analyse.
Was muss ich denn in meinem Code ändern... vor allem im 2. Teil?

Grüße von
Yan

Zitat von @Yan2021:
vor allem im 2. Teil?

Steht doch darunter.

Vielleicht wäre es sinniger, folgende Berechtigungen für Ebene 2 zu verteilen und die Vererbung ab Ebene 3 wieder zu aktivieren:

Identität	Rechte	Anwenden auf	Typ
domäne\G2	Unterordner erstellen	Dieser Ordner	zulassen
domäne\G2	Schreiben, Unterordner erstellen und löschen	Nur Unterordner	zulassen

Damit wären alle Probleme bis auf eins gelöst: Neue Ordner auf der 3. Ebene sollten nicht über den Windows-Explorer erstellt werden, da dieser leider so blöd ist und erst einen Ordner Namens "Neuer Ordner" erstellt, welchen er im Anschluss umbenennen will - was dann aber aufgrund fehlender Rechte scheitert.

Danke Dir...
Aber Dein Code

$accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule("domäne\G2", "Modify", "ContainerInherit, ObjectInherit", "InheritOnly", "Allow")     

hat auch die Ändern-Rechte jetzt nicht auf "Nur Unterordner und Dateien" anwenden lassen.
Das steht noch immer auf "Diesen Ordner, Unterordner und Dateien".

Ansonsten ist die Umsetzung bei mir schon OK... nur das hier sollte noch funktionieren.
Vielleicht finden wir ja noch eine gangbare Lösung. Ansonsten muss ich die 154 Verzeichnisse der Ebene 3 manuell umstellen, was ich unbedingt vermeiden möchte

Grüße von
Yan

Zitat von @Yan2021:
Danke Dir...
Aber Dein Code hat auch die Ändern-Rechte jetzt nicht auf "Nur Unterordner und Dateien" anwenden lassen.

Nein, mit "InheritOnly" werden die Rechte nur vererbt und nicht auf den aktuellen Ordner angewendet, funktioniert hier einwandfrei. Wenn bei dir die Rechte auch auf den Ordner angewendet werden, wurden die vorhandenen Rechte nicht vollständig entfernt.

Ändere mal den Teil mit dem Entfernen wie folgt ab:

    # Entferne vorhandene Berechtigungen für die Gruppe G2
    $acl.Access | Where-Object { $_.IdentityReference -eq "domäne\G2" -and !$_.IsInherited} | ForEach-Object { $acl.RemoveAccessRule($_) }  

Hallo und danke für den weiteren Code.

Leider steht in den erweiterten Eigenschaften eines Verzeichnisses der 3. Ebene jetzt noch immer folgendes:

Zugriff: Ändern
Geerbt von: Keine
Anwenden auf: Diesen Ordner, Unterordner und Dateien

Hier nochmal der aktuelle Code:

# Setze das Root-Verzeichnis
$rootDir = "S:\Root"  

# Alle Verzeichnisse in der 3. Ebene, die mit einer Zahl zwischen 1 und 7 beginnen
  $thirdLevelDirs = Get-ChildItem -Directory -Path "$rootDir\*\*\*" | Where-Object { $_.Name -match '^[1-7]' }   

# Gehe durch jedes Verzeichnis und setze die Berechtigungen
foreach ($dir in $thirdLevelDirs) {
    $acl = Get-Acl $dir.FullName
    
    # Deaktiviere die Vererbung und übernehme die bestehenden Berechtigungen
    $acl.SetAccessRuleProtection($true, $true)
    Set-Acl $dir.FullName $acl
    
    # Entferne bestehende "Ändern"-Berechtigungen für das Verzeichnis selbst für die Gruppe 
    $acl = Get-Acl $dir.FullName
    $acl.Access | Where-Object { $_.IdentityReference -eq "domäne\G2" -and !$_.IsInherited} | ForEach-Object { $acl.RemoveAccessRule($_) }  

    # Füge neue "Ändern"-Berechtigungen nur für Unterordner und Dateien hinzu 
    $accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule("domäne\G2", "Modify", "ContainerInherit, ObjectInherit", "InheritOnly", "Allow")  
    $acl.AddAccessRule($accessRule)
    
    Set-Acl $dir.FullName $acl
}

Write-Host "Berechtigungen wurden erfolgreich aktualisiert."  

Keine Ahnung, wieso das hier bei mir nicht funktioniert... Hoffe aber, dass wir noch eine gangbare Lösung finden, damit ich das nicht manuell durchführen muss bei 154 Verzeichnissen

Grüße von
Yan

Zeige mal bitte die Ausgabe von

gci -dir "S:\Root\*\*\*" | select -f 1 | %{icacls $_.FullName}

Hallo und danke für die weitere Hilfe.

Hier die Ausgabe Deines Codes:

S:\Root\3 Organe + Gremien\1 Vorstand\Korrespondenz NT-AUTORITŽT\Authentifizierte Benutzer:(OI)(CI)(RX)
                                                    NT-AUTORITŽT\SYSTEM:(OI)(CI)(M)
                                                    VORDEFINIERT\Administratoren:(OI)(CI)(F)
                                                    domäne\G2:(OI)(CI)(M)

1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.

Grüße von
Yan

Na dann bringen wir doch mal ein bisschen mehr Kommunikation ins Spiel...

# Setze das Root-Verzeichnis
$rootDir = "S:\Root"    

# Alle Verzeichnisse in der 3. Ebene, die mit einer Zahl zwischen 1 und 7 beginnen
$thirdLevelDirs = Get-ChildItem -Directory -Path "$rootDir\*\*\[1-7]*"  

# Bei Fehlern stoppen
$ErrorActionPreference = "stop"  

# Ausgabe-Symbole
[char]$ok, [char]$fail, [char]$attention = 0x2713, 0x2715, 0x26a0

# Erlaube Gruppe G2 das Ändern von Unterordnern und Dateien 
$accessRule = @(
  New-Object System.Security.AccessControl.FileSystemAccessRule("domäne\G2", "Write, ReadAndExecute", "none", "none", "Allow")  
  New-Object System.Security.AccessControl.FileSystemAccessRule("domäne\G2", "Modify", "ContainerInherit, ObjectInherit", "InheritOnly", "Allow")  
)

# Gehe durch jedes Verzeichnis und setze die Berechtigungen
foreach ($dir in $thirdLevelDirs) {
  try {
    Write-Host $dir.FullName
    
    # Lade aktuelle Berechtigungen
    $acl = Get-Acl $dir.FullName
    
    # Deaktiviere die Vererbung und übernehme die bestehenden Berechtigungen
    Write-Host -NoNewLine " - Deaktiviere Vererbung. "  
    $acl.SetAccessRuleProtection(1, 1)
    Set-Acl $dir.FullName $acl
    Write-Host -ForegroundColor green $ok

    # Lade aktuelle Berechtigungen
    $acl = Get-Acl $dir.FullName
    
    # Entferne bestehende "Ändern"-Berechtigungen für das Verzeichnis selbst für die Gruppe  
    Write-Host -NoNewLine " - Entferne Berechtigungen für Gruppe G2: "  
    $acl.Access | Where { $_.IdentityReference -eq "domäne\G2" } | Foreach {$i=0}{  
      Write-Host -NoNewLine "$($_.FileSystemRights). "  
      [void]$acl.RemoveAccessRule($_)
      $i++
    }
    if ($i) {Write-Host -ForegroundColor green $ok} else {Write-Host -ForegroundColor yellow "$attention  Keine vorhandenen Berechtigungen gefunden."}  

    # Füge neue "Ändern"-Berechtigungen nur für Unterordner und Dateien hinzu 
    Write-Host -NoNewLine " - Füge neue Berechtigungen hinzu. "  
    $accessRule | Foreach {$acl.AddAccessRule($_)}
    Write-Host -ForegroundColor green $ok
    
    Write-Host -NoNewLine " - Berechtigungen werden gesetzt. "  
    Set-Acl $dir.FullName $acl
    Write-Host -ForegroundColor green $ok
    
  } catch {Write-Host -ForegroundColor Red "$fail`n   $($_.Exception.Message)"}  
  ""  
}

Irgendwelche Auffälligkeiten?

Hallo und danke für die Mühe...

Leider erhielt ich die folgende Fehlermeldung nach Ausführen des Skriptes (als Admin):

Get-ChildItem : Es wurde kein Parameter gefunden, der dem Parameternamen "Directory" entspricht.  
In X:\ADMIN\TEST_Ändern-Rechte nur für Unterordner und Dateien setzen_Ebene 3.ps1:5 Zeichen:33
+ $thirdLevelDirs = Get-ChildItem -Directory -Path "$rootDir\*\*\[1-7]* ...  
+                                 ~~~~~~~~~~
    + CategoryInfo          : InvalidArgument: (:) [Get-ChildItem], ParameterBindingException
    + FullyQualifiedErrorId : NamedParameterNotFound,Microsoft.PowerShell.Commands.GetChildItemCommand

Grüße von
Yan

Zitat von @Yan2021:

Get-ChildItem : Es wurde kein Parameter gefunden, der dem Parameternamen "Directory" entspricht.  
In X:\ADMIN\TEST_Ändern-Rechte nur für Unterordner und Dateien setzen_Ebene 3.ps1:5 Zeichen:33
+ $thirdLevelDirs = Get-ChildItem -Directory -Path "$rootDir\*\*\[1-7]* ...  
+                                 ~~~~~~~~~~

Muss ich verstehen, warum du jetzt wieder alles anders machst als vorher?
Der Directory-Parameter ist im Get-ChildItem Cmdlet ab Powershell Version 3 vorhanden und bei deinen letzten Versuchen, wo der Befehl auch schon da war, hat er diesen auch nicht angemeckert. Du hast das Skript jetzt offensichtlich warum auch immer mit Powershell V2 ausgeführt.

Oh, das könnte ganz einfach daran liegen, dass ich heute im Homeoffice arbeite und dass auf dem Terminalserver offenbar eine ältere PS-Version installiert ist.

Werde es dann mal morgen Früh testen. Dann sollte Dein Code wohl durchlaufen...

Sorry

Grüße von
Yan

Hallo,

ich habe jetzt das Skript am PC auf der Arbeit ausgeführt... und zwar in der "normalen" Powershell, als auch in "Powershell ISE". In beiden Fällen passiert............ nichts. Egal ob ich den Code in ein Fenster einfüge und es über "Ausführen" starte oder ob ich zum Verzeichnis navigiere und über ".\Dateiname" starte. Es passiert nichts.

Die Version habe ich auch per "$PSVersionTable" getestet. Es wurde folgende Ausgabe gegeben:

Name                           Value
----                           -----
PSVersion                      5.1.19041.5965
PSEdition                      Desktop
PSCompatibleVersions           {1.0, 2.0, 3.0, 4.0...}
BuildVersion                   10.0.19041.5965
CLRVersion                     4.0.30319.42000
WSManStackVersion              3.0
PSRemotingProtocolVersion      2.3
SerializationVersion           1.1.0.1

Mehr kann ich im Moment nicht sagen...

Welche Möglichkeiten habe ich noch?

Grüße von
Yan

UPDATE:
Ich habe jetzt auf PS-Version 7.5.2 upgedatet. Aber auch damit passiert nichts, wenn ich den Code ausführe.

Zitat von @nEmEsIs:

Ähm.. Das mit dem Zeichen üben wir besser nochmal 😉😋😁✌

*duckundweg*

@mayho33

Zunächst danke für Deinen Kommentar...
Aber 2 Kommentare dazu:

1) Was meinst Du mit "das mit dem Zeichen"... welches Zeichen???

2) Ich weiß ja längst, dass ich diese Einstellung ändern muss. Du solltest auch mal den ganzen Thread verfolgen, bevor Du solche Kommentare abgibst

Aber ich suche ja eine Möglichkeit, dass für mehr als 150 Verzeichnisse gleichzeitig umzusetzen und dafür haben wir bisher noch keine gangbare Lösung gefunden.

Wäre schön, wenn vielleicht jemand von Euch noch eine Lösung anbieten könnte.

Danke und Grüße von
Yan

@Yan2021, ich habe einen Scherz über die Pfeile im Bild gemacht, weil ich gut kenne wie das ausschaut, wenn man mit Maus zeichnet, und habe dabei einen Schreibfehler gemacht.

War nicht meine Absicht, dass du das direkt auf dich beziehst. Das hat mit deinem Problem überhaupt nichts zu tun

Frage Windows Netzwerk Windows 10

Mehr von Yan2021

Nach Austausch von Verzeichnis-Icons sind die Verzeichnisse nicht mehr sichtbarYan2021 - 29 Kommentare

Excel - Teil eines Pfades anders ändern möglich?Yan2021 - 9 Kommentare

Beim setzen von Rechten immer wieder FehlermeldungYan2021 - 14 Kommentare

Woher bekommt Ihr Eure Email-Zertifikate?Yan2021 - 41 Kommentare

Heiß diskutiert